Cyberatak może cię zamknąć w windzie. Poważne luki w systemie VxWorks

200 milionów urządzeń jest podatnych na atak i zdalne przejęcie kontroli. Wśród nich jest sprzęt sterujący urządzeniami medycznymi, windami i automatyką budynkową, samochodami, samolotami, a nawet łazikami, którymi NASA bada Marsa. Ataki są możliwe przez luki w systemie wbudowanym VxWorks, jeśli kontroler jest podłączony do internetu.

System VxWorks działa na ponad 2 miliardach urządzeń, od robota Asimo zbudowanego przez Hondę, przez sprzęt sieciowy i maszyny przemysłowe, po SpaceX Dragon.

Specjaliści z firmy Armis zidentyfikowali łącznie 11 luk w różnych wersjach VxWorks (stąd nazwa „URGENT/11”). 6 z nich pozwala na zdalne wykonanie kodu, pozostałe są mniej poważne. Analitycy oszacowali, że podatne wersje są zainstalowane na około 200 mln urządzeń. Podatne są starsze i niecertyfikowane wydania, obecne między innymi na kontrolerach wind.

Większość luk została znaleziona w stosie sieciowym (IPnet) i można je łatwo wykorzystać. Często wystarczy spreparować szkodliwy pakiet sieciowy i wysłać go do urządzenia przez internet. Niektóre z luk można wykorzystać w taki sposób, by obejść zaporę sieciową i mechanizmy obronne. Łącząc kilka ataków, można przejąć zdalną kontrolę nad urządzeniem.

Luki są niebezpieczne z. jeszcze jednego powodu. Analitycy z Armis zaznaczają, że „takie ataki nie wymagają żadnych modyfikacji, by działać na różnych urządzeniach, przez co mogą się łatwo rozprzestrzeniać”. Zestaw luk został przez Armis porównany do tych, które w 2016 roku pozwoliły na infekcję systemu Windows przez ransomware WannaCry.

Arlen Baker odpowiedzialny za bezpieczeństwo VxWorks w firmie Wind River uspokaja. Stos IPnet jest obecny tylko w niektórych wersjach systemu, w tym takich, dla których wsparcie już zostało zakończone. Najnowsze wydanie VxWorks nie ma już żadnej z tych luk, odporne są też wszystkie produkty Wind River, które mają certyfikaty bezpieczeństwa.

Firma WindRiver jest zdania, że podatnych urządzeń jest mniej niż 200 mln. W większości są to urządzenia mniej znaczące jak modemy, routery czy drukarki. Urządzenia przemysłowe i medyczne także mogą być podatne na atak, jeśli są podłączone do internetu.

Odpowiednie poprawki zostały wydane miesiąc temu, a Wind River informuje o tym klientów. Problem w tym, że wielu z nich nie da rady zlokalizować i wyłączyć swoich urządzeń, by wgrać na nie aktualizację. Nie można wymagać od obsługi wieżowca, by wyłączyła wszystkie windy na kilka dni, a od szpitala, by przesunął terminy radioterapii pacjentów z nowotworami. Odpięcie sprzętowego firewalla z sieci w dużej firmie także nie wchodzi w grę – to proszenie się o milionowe straty.

Użytkownicy sprzętu ze starszymi wersjami systemu VxWorks muszą przygotować się na szacowanie ryzyka. Jeśli powstanie malware, który będzie się rozprzestrzeniał, może dojść do globalnych zakłóceń. Z drugiej strony administratorzy sieci, w których pracują te urządzenia, mogą wprowadzić lepszą kontrolę dostępu i zabezpieczyć je przed szkodliwymi pakietami.

Najlepiej w ogóle usunąć ten sprzęt z sieci, ale to prawdopodobnie niemożliwe.